-
Junior Member
- Вес репутации
- 51
Поймал вирус, возможно руткит
Вчера (11.08.2010) после включения компьютера я открыл Оперу с несколькими вкладками. Почти сразу после этого появилось окно загрузки платформы Java и быстро промелькнуло какое-то окно. Похоже, что на каком-то из открытых мной сайтов находился эксплоит, использующий уязвимости Java. При этом пропал значок Антивируса Касперского (который был запущен) в трее. При попытке заново запустить антивирус ничего не произошло (avp.exe даже не появляется в диспетчере задач, по-видимому, вирус его мгновенно убивает). Пытался восстановить его, ничего не изменилось. После этого я скачал Dr.Web Cureit, отключил интернет и поставил проверку компьютера. Затем я отошел минут на 10, а когда пришел, обнаружил, что компьютер перезагрузился (при этом компьютер подключен через ИБП, возможность перезагрузки из-за скачка напряжения исключена). Я загрузил вдобавок к Cureit утилиту AVPTool, загрузился в безопасном режиме и проверил систему. Ни один антивирус ничего не нашел. Затем я загрузил компьютер в обычном режиме и проверил его при помощи AVZ, обновив предварительно базы. Вначале ничего кроме одной подозрительной dll (H:\Windows\system32\tgzcpre.dll) и кучи перехваченных функций (которые были и до этого) он не обнаружил. Затем я установил драйвер расширенного мониторинга процессов, перезагрузил компьютер и проверил его еще раз. AVZ обнаружил множество маскированных процессов, все с таким описанием: Маскировка процесса с PID=356, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 356). Интересно, что GMER при этом ничего опасного не нашел. Сегодня я сделал все необходимые логи и прошу вас о помощи в излечении компьютера. Извините, что так много написал, постарался изложить все, что может быть важным. Заранее спасибо за ответ.
P.S. Отчет о проверке файла tgzcpre.dll на virustotal.com.
Последний раз редактировалось AntX; 12.08.2010 в 11:00.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте,
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('MEMSWEEP2');
DeleteService('MEMSWEEP2');
BC_DeleteSvc('MEMSWEEP2');
QuarantineFile('H:\Windows\system32\5715.tmp','');
QuarantineFile('H:\Windows\system32\tgzcpre.dll','');
DeleteFile('H:\Windows\system32\5715.tmp');
DeleteFileMask('H:\Windows\system32\','*.tmp',false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
После перезагрузки:
- Закачайте файл ..\avz\quarantine.zip для анализа.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
Ссылка на Вирустотал битая.
-
-
Junior Member
- Вес репутации
- 51
При попытке выполнения скрипта после выполнения пункта проверки 1.1 и начала 1.2 (поиск перхватчиков API, работающих в KernelMode) AVZ вылетает с ошибкой: Сигнатура проблемы:
Имя события проблемы: APPCRASH
Имя приложения: avz.exe
Версия приложения: 4.34.0.0
Отметка времени приложения: 2a425e19
Имя модуля с ошибкой: advapi32.dll
Версия модуля с ошибкой: 6.1.7600.16385
Отметка времени модуля с ошибкой: 4a5bd97e
Код исключения: c0000096
Смещение исключения: 00022a53
Версия ОС: 6.1.7600.2.0.0.256.1
Код языка: 1049
Дополнительные сведения 1: c396
Дополнительные сведения 2: c396f6d0bf25ca718fa81ec7f959a449
Дополнительные сведения 3: c396
Дополнительные сведения 4: c396f6d0bf25ca718fa81ec7f959a449.
Перезагрузил компьютер, попробовал заново - то же самое. Попробовать запустить его в безопасном режиме?
-
Сообщение от
AntX
При попытке выполнения скрипта после выполнения пункта проверки 1.1 и начала 1.2 (поиск перхватчиков API, работающих в KernelMode) AVZ вылетает с ошибкой
Вы АВЗ от имени администратора запускаете?
-
-
Junior Member
- Вес репутации
- 51
-
- Сделайте лог полного сканирования MBAM.
-
-
Junior Member
- Вес репутации
- 51
Сделал лог. Ошибка возникает именно из-за поиска руткитов, т.к. скрипт
Код:
begin
SearchRootkit(true, true);
end.
завершается с той же ошибкой. Диск, на котором стоит система - H. На C стоит XP SP3, которой я уже давно не пользуюсь.
-
Удалите в МВАМ
Код:
Зараженные файлы:
C:\Sandbox\User\DefaultBox\drive\C\WINDOWS\Temp\BGf0ih8Gmb.log (Backdoor.Gootkit) -> No action taken.
C:\Sandbox\User\DefaultBox\drive\C\WINDOWS\Temp\cM7j1bgMFg.log (Backdoor.Gootkit) -> No action taken.
C:\Sandbox\User\DefaultBox\drive\C\WINDOWS\Temp\d0KM8Il76d.log (Backdoor.Gootkit) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\Sandbox\KLSB1\Device\HarddiskVolume1\WINDOWS\Temp\BGf0ih8Gmb.log (Backdoor.Gootkit) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\Sandbox\KLSB1\Device\HarddiskVolume1\WINDOWS\Temp\BgmCDkb8e1.log (Backdoor.Gootkit) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\Sandbox\KLSB1\Device\HarddiskVolume1\WINDOWS\Temp\cM7j1bgMFg.log (Backdoor.Gootkit) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\Sandbox\KLSB1\Device\HarddiskVolume1\WINDOWS\Temp\d0KM8Il76d.log (Backdoor.Gootkit) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\Sandbox\KLSB1\Device\HarddiskVolume1\WINDOWS\Temp\dAmLDcHnGH.log (Backdoor.Gootkit) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\Sandbox\KLSB1\Device\HarddiskVolume1\WINDOWS\Temp\kH71j6cH8c.log (Backdoor.Gootkit) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\Sandbox\KLSB1\Device\HarddiskVolume1\WINDOWS\Temp\lihg7kdi1d.log (Backdoor.Gootkit) -> No action taken.
H:\Windows\System32\hosts (Trojan.Agent) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Спасибо, уже удалил, но файлы на диске C не представляют угрозы, а в файл hosts в папке system32 были дописаны пара строчек (не этим вирусом), отредактировал все как по умолчанию. После того, как AVZ деактивировал все руткиты, подозреваемая dll-ка была убрана из автозапуска, все упоминания о ней в реестре стерты, а антивирус переустановлен, удалось запустить KIS 2011. После обновления баз просканировал критические объекты и обнаружил, что эта dll (tgzcpre.dll), которая еще вчера детектировалась только одним антивирусом (Microsoft), а сегодня утром двумя (добавилась Panda) получила классификацию Trojan-Spy.Win32.Small.ckv. После процедуры лечения и перезагрузки компьютера проверил на максимальном уровне анализа весь системный диск и обнаружил в кеше Оперы пару десятков модификаций Exploit.Java.Agent.a, так что, мое предположение, как вирус попал на компьютер, скорее всего, оказалось правильным. Но интересно другое: после процедуры лечения и полной проверки касперским AVZ все равно продолжает находить множество маскированных процессов (описание: Маскировка процесса с PID=356, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 356). Gmer, Process Explorer и руткит-сканеры KIS'а и Dr.Web'а при этом ничего не обнаружили. Не уверен, что эти процессы связаны с пойманным вирусом, но где-то две недели назад, когда я последний раз сканировал систему при помощи AVZ, их не было. Да, и теперь AVZ не вылетает с ошибкой при попытке выполнения скрипта.
P.S. Столько видел тестов и отзывов о "неубиваемости" касперского, а тут оказалось, что вируса, проникшего при помощи эксплоита, достаточно, чтобы полностью отключить и деактивировать включенный KIS с опцией самозащиты.
-
Сообщение от
AntX
AVZ все равно продолжает находить множество маскированных процессов (описание: Маскировка процесса с PID=356, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 356).
Это нормально.
Сообщение от
AntX
оказалось, что вируса, проникшего при помощи эксплоита, достаточно, чтобы полностью отключить и деактивировать включенный KIS с опцией самозащиты.
2 вопроса к Вам:
1. Вы работаете в учётке с правами администратора?
2. Доступ к Установкам КИС защищён паролем?
-
-
Junior Member
- Вес репутации
- 51
1. Да, но под Windows 7.
2. Да, защищен.
А эти маскированные процессы что-нибудь значат? Не зря же AVZ их находит и выделяет красным цветом.
-
Сообщение от
AntX
А эти маскированные процессы что-нибудь значат?
На Windows 7 и Vista такие маскировки в порядке вещей
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Возможно, я сканировал другой версией AVZ, но пару недель назад такого не было. Поэтому это и показалось мне странным. Всем спасибо, думаю, тему можно считать решенной. Я проверил систему еще раз всем, чем можно, ничего подозрительного кроме этих процессов не обнаружил.